我有 2 个子网,一个是私有子网,一个是公共子网。我需要在私有子网上使用 letsencrypt 来更新证书。我可以通过创建公共实例和路由 (dns、iptables) 来做到这一点。如何在不创建公共实例的情况下使用私有区域中的 AWS 服务来做到这一点?即“Nat Gateway”。
答案1
我会用DNS-01 质询类型,这样您就不需要连接到您的私有实例。
如果你想允许你的私有实例访问互联网以使用 HTTP-01 质询类型,那么你可以部署一个NAT 网关或者NAT 实例到您的公共子网,并让私有子网路由 0.0.0.0/0 到该资源。NAT 实例便宜得多,但您必须更新/管理它。您可以在证书续订期间创建任一资源,但设置自动续订会容易得多,这意味着 NAT 资源会一直运行。
Certbot 支持自动续订。